KIRAS Sicherheitsforschung

2011

Open Security - Open Source Security Solutions Protecting Employees and Data in Public Institutions

Open Security ist ein KIRAS industrielles Forschungsprojekt, dass den Verlust und (un-)gewollten Missbrauch von sensiblen, bürgerbezogenen Daten bei öffentlichen Einrichtungen verhindern soll. Ziel dieser Forschung ist ein höherer Sicherheits- und Verfügbarkeitslevel bei gleichzeitig geringerem Aufwand. Hierzu wird die Machbarkeit und mögliche Umsetzung eines zentralen Security-Layers auf Basis unserer Erfahrung mit Intensive Computing, Anti-Virus und Verschlüsselung geprüft.

Jede Organisation muss ihre Cyber-Infrastruktur vor (externen wie internen) Gefahren schützen. Insbesondere öffentliche Einrichtungen, die private Bürgerdaten (z. B. Straf- und Melderegister oder Patientenakten) verwalten oder denen Informationen der nationalen Sicherheit anvertraut werden, haben die Verpflichtung diese sensiblen Daten zu schützen. Ob Nutzerfehler oder böswillige Absicht, externe Angriffe oder Social Engineering, der Mensch ist und bleibt eine Schwachstelle in der IT-Sicherheit. Oft fehlt ausreichendes Bewusstsein über Sicherheitsrisiken. Dadurch werden NutzerInnen zum Ziel verschiedener externer Bedrohungen gemacht.

Normaler Weise wird versucht, durch die Installation von Anti-Virensoftware auf den Clients einem Teil dieser Bedrohungen entgegenzuwirken. Dies verlangt jedoch ein komplexes Software-Management bzw. müssen die NutzerInnen Signatur- und Software-Updates lokal durchführen.
Erhöhter Ressourcenverbrauch durch die Software kann sogar dazu führen, dass NutzerInnen den Virenschutz abschalten. Um Datenverlust abzuwehren, werden wir die Machbarkeit und mögliche Umsetzung eines zentralen Security-Layers auf Basis unserer Erfahrung mit Intensive Computing, Anti-Virus und Verschlüsselung prüfen. Wenn erfolgreich, wird diese Innovation zu einem höheren Sicherheitslevel und zu geringerem Aufwand für öffentliche Einrichtungen führen.

Der Verlust von Endgeräten (Smartphones, Tablet-PCs, USB-Sticks, Laptops, etc.) ist ein weiteres häufiges Problem. Unser Lösungsansatz ist eine Client-Architektur, die sicherstellt, dass alle auf solchen Geräten gespeicherten Daten basierend auf einem Digital Rights Management automatisch verschlüsselt werden. So genannte Data Loss Prevention (DLP) Produkte werben mit dieser Möglichkeit. Die Innovation von Open Security besteht in der Verbindung des DLP-Ansatzes mit einer zentralen Management-Lösung und einer ‚Sicherheit durch Isolation‘ Architektur. Letztere minimiert das Risiko auf dem Client durch die Zuweisung von isolierten Domains (virtual machines) für Speicher, Devices, Netzwerke und verschiedene Anwendungen (z.B. Webbrowser, E-Mail, Office-Programme). Bei einem Befall von einer Domain besteht kein Zugriff auf andere Domains. Innovativ an Open Security ist also, dass das Risiko des Datenverlustes minimiert und gleichzeitig der Schutz vor externen Angriffen erhöht wird.

Der zentrale Security-Layer kontrolliert, verifiziert und verschlüsselt jegliche Kommunikation, die auf Endgeräten stattfindet. Das dort durchgeführte Logging gibt zudem Rückschlüsse auf verloren gegangene Daten. Um zu verhindern, dass durch die Überwachung der Input/Output (I/O) Kanäle eines Clients in die Privatsphäre des Nutzers eingegriffen wird, befasst sich ein Arbeitspaket mit sozial-relevanten Forschungsfragen im Zusammenhang mit der Nutzersicht und dem Nutzerverständnis gegenüber diesem Ansatz. Zudem soll in diesem Arbeitspaket erforscht werden, wie sehr Open Security in die Privatsphäre der AnwenderInnen eingreift bzw. wie die Akzeptanz eines solchen Systems unter den NutzerInnen ist und wie sie gegebenenfalls verbessert werden
kann.

Open Security wird unter eine Lizenz gestellt, welche die öffentliche Verifikation und die individuelle Anpassung an heterogene IKT-Systemlandschaften ermöglicht. Dadurch entsteht Transparenz, die unserer Meinung nach entscheidend für das Vertrauen und die Akzeptanz bei Institutionen und NutzerInnen ist.

Auflistung der weiteren Projekt- bzw. KooperationspartnerInnen
LIquA – Linzer Institut für qualitative Analyse
4020 Linz, Untere Donaulände 10/1

IKT Linz Infrastruktur GmbH
4020 Linz, Gruberstraße 42

X-Net Services GmbH
4020 Linz, Elisabethstraße 1

IKARUS Security Software GmbH
1050 Wien, Blechturmgasse 11

Republik Österreich (Bund) vertreten durch
Bundesministerium für Landesverteidigung und Sport
1090 Wien, Roßauer Lände 1

Kontakt
Dr. Ross King
AIT Austrian Institute of Technology GmbH

Donau-City-Strasse 1
1220 Wien

Tel: +43 (0) 50550-4271
Fax: +43 (0) 50550-4271

ross.king@ait.ac.at
http://www.ait.ac.at

drucken